521第二十章安全掃描技術(shù)

第二十章平安掃描技術(shù)黑客攻擊過程有多個(gè)階段，多種技術(shù)，但沒有一個(gè)統(tǒng)一的定式。黑客攻擊技術(shù)本身開展很快，今天可行的技術(shù)可能明天就過時(shí)了。黑客攻擊技術(shù)的過時(shí)主要是因?yàn)橄鄳?yīng)的黑客防御技術(shù)開展也很快。掃描技術(shù)是一種很重要的攻擊和防御技術(shù)。黑客防御技術(shù)1〕加密/散列/簽名技術(shù)〔理論根底〕2〕主機(jī)加固技術(shù)〔打補(bǔ)丁〕3〕病毒防護(hù)技術(shù)〔廣義病毒〕4〕防火墻技術(shù)〔門衛(wèi)/被動(dòng)/進(jìn)出〕5〕虛擬專用網(wǎng)技術(shù)〔端-端/密碼技術(shù)〕6〕入侵檢測(cè)技術(shù)〔警察/動(dòng)態(tài)/內(nèi)部〕7〕蜜罐技術(shù)〔主動(dòng)/位置/誤報(bào)少〕返回黑客攻擊技術(shù)1〕隱藏攻擊者地址和身份技術(shù)2〕踩點(diǎn)技術(shù)3〕掃描技術(shù)4〕嗅探技術(shù)〔共享網(wǎng)/交換網(wǎng)〕5〕攻擊技術(shù)〔正式攻擊〕6〕權(quán)限提升技術(shù)7〕痕跡去除和留置后門技術(shù)8〕特洛伊木馬/蠕蟲/病毒返回1〕隱藏攻擊者地址和身份技術(shù)?IP地址欺騙或盜用技術(shù)?MAC地址盜用技術(shù)?通過Proxy隱藏技術(shù)?網(wǎng)絡(luò)地址轉(zhuǎn)換〔NAT〕技術(shù)?盜用他人網(wǎng)絡(luò)帳戶技術(shù)返回2〕踩點(diǎn)技術(shù)?目標(biāo)系統(tǒng)的用戶注冊(cè)信息——Whois?域名、IP地址、DNS效勞器、郵件效勞器——nslookup?網(wǎng)絡(luò)拓?fù)浜吐酚尚畔ⅰ猼raceroute獲取公開的信息；采用的技術(shù)合法；說(shuō)者無(wú)心，聽者有意返回3〕掃描技術(shù)?主機(jī)掃描〔合法的Ping，查看目標(biāo)主機(jī)是否存活〕?端口掃描〔惡意地用專門軟件，如Nmap〕?操作系統(tǒng)探測(cè)〔協(xié)議棧指紋鑒別〕?查點(diǎn)〔有時(shí)作為一個(gè)獨(dú)立階段〕返回端口掃描——TCP三次握手SYN包,C的序列號(hào)ClientSYN+ACK包,S序列號(hào),C應(yīng)答號(hào)ServerACK包,S的應(yīng)答號(hào)?源端口(>1024高端口)?目的端口(<1024熟知?源IP地址(尋址只關(guān)心端口，說(shuō)明Server上目的IP，不認(rèn)證源IP地提供的效勞)址，可能是“假〞地址)?目的IP地址注意TCP頭部的六個(gè)標(biāo)志位的作用：SYN/ACK/RST/FIN/PSH/URG端口掃描分析比較表〔1〕端口掃描分析比較表〔2〕端口掃描分析比較表〔3〕端口掃描策略〔1〕1〕隨機(jī)端口掃描〔RandomPortScan〕許多商業(yè)IDS和防火墻會(huì)搜尋順序的連接嘗試，一旦找到就報(bào)告存在端口掃描攻擊。隨機(jī)端口掃描可能躲避它們的檢測(cè)。2〕慢掃描〔SlowScan〕IDS可以確定某個(gè)特定的IP是否正在掃描被保護(hù)的網(wǎng)絡(luò)。這通常根據(jù)分析某段時(shí)間內(nèi)的網(wǎng)絡(luò)通信量來(lái)實(shí)現(xiàn)。很多入侵者非常有耐心，掃描可持續(xù)很久。端口掃描策略〔2〕3〕分片掃描〔FragmentationScanning〕在TCP協(xié)議中，8個(gè)字節(jié)的數(shù)據(jù)〔最小分片長(zhǎng)度〕只能用來(lái)包含源和目的端口號(hào)，TCP協(xié)議的標(biāo)志字段被放到第二個(gè)分片當(dāng)中。由于過濾設(shè)備在第一個(gè)分組中無(wú)法測(cè)試SYN=1和ACK=0標(biāo)志位，因此可能無(wú)法正確處理連接請(qǐng)求，而且可能繼續(xù)忽略后續(xù)其他分片包，從而繞過這些過濾設(shè)備。端口掃描策略〔3〕4〕誘騙〔Decoy〕某些網(wǎng)絡(luò)掃描器還包含選項(xiàng)用于誘騙或者偽造假地址，使得IDS認(rèn)為有很多主機(jī)在掃描被保護(hù)網(wǎng)絡(luò)，要確定真正的攻擊者幾乎不可能。一種解決方法是利用TTL字段。如果所有進(jìn)入分組的TTL值相同，可認(rèn)為它們是同一臺(tái)主機(jī)產(chǎn)生的。但如果攻擊者利用Nmap工具掃描，那么IDS無(wú)法利用它判斷，因?yàn)樗请S機(jī)產(chǎn)生介于51~64的TTL值的分組的。操作系統(tǒng)探測(cè)〔協(xié)議棧指紋鑒別〕?黑客對(duì)目標(biāo)主機(jī)發(fā)出探測(cè)包，由于不同OS廠商的IP協(xié)議棧實(shí)現(xiàn)存在細(xì)微差異，因此每種OS都有獨(dú)特的響應(yīng)方法，黑客經(jīng)常能夠確定目標(biāo)主機(jī)運(yùn)行的OS。?利用Ping進(jìn)行探測(cè)，根據(jù)就是所返回的TTL值的細(xì)微差異，確定目標(biāo)主機(jī)的OS。TTL接近256：UNIX系統(tǒng)TTL接近128：Windows系統(tǒng)TTL接近64：Linux系統(tǒng)查點(diǎn)

?針對(duì)特定應(yīng)用和效勞的漏洞掃描——Web效勞器、操作系統(tǒng)、數(shù)據(jù)庫(kù)效勞器、防火墻、路由器?從系統(tǒng)中抽取有效賬號(hào)或?qū)С鲑Y源名——這些信息很可能成為目標(biāo)系統(tǒng)的禍根〔猜測(cè)密碼或查找漏洞〕4〕嗅探技術(shù)即局域網(wǎng)上主機(jī)監(jiān)聽到發(fā)送給其他主機(jī)的數(shù)據(jù)包內(nèi)容。?共享局域網(wǎng)——將該主機(jī)網(wǎng)卡設(shè)置成混雜〔Promiscuous〕模式?各種局域網(wǎng)——某主機(jī)使用ARP欺騙兩種技術(shù)可結(jié)合使用，從而嗅探到局域網(wǎng)上傳送的用戶的帳號(hào)和口令。返回5〕攻擊技術(shù)1〕DoS/DDoS2〕口令破解3〕欺騙技術(shù)〔IP、DNS、Web、Email〕4〕會(huì)話劫持〔重放攻擊、中間人攻擊、會(huì)話注射〕5〕緩沖區(qū)溢出〔棧、堆、格式化字符串〕

返回6〕權(quán)限提升技術(shù)1〕GetAdmin權(quán)限提升方法2〕SecHole權(quán)限提升方法3〕NetDDE權(quán)限提升方法4〕PipeUpAdmin權(quán)限提升方法返回7〕痕跡去除和留置后門技術(shù)1〕禁止日志審計(jì)2〕去除事件日志3〕Rootkit1〕SUID后門〔提升權(quán)限后門〕2〕rlogin后門〔信任關(guān)系后門〕3〕NetCat后門 〔遠(yuǎn)程登錄后門〕4〕采用隧道技術(shù)的后門〔封包來(lái)躲避防火墻〕5〕端口重定向后門〔反向連接來(lái)躲避防火墻〕6〕鍵盤記錄器后門〔木馬功能一種〕7〕木馬效勞器后門〔遠(yuǎn)程控制后門〕返回8〕特洛伊木馬/蠕蟲/病毒〔1〕以木馬為例：0〕木馬的客戶端和效勞器端1〕木馬的種植郵件正文/郵件附件/網(wǎng)頁(yè)/下載/共享2〕種植后的隱藏文件名/〔附件〕大小/圖標(biāo)/端口/路徑/注冊(cè)表3〕木馬的啟動(dòng)自啟動(dòng)/隨文件啟動(dòng)4〕啟動(dòng)后隱藏窗口/任務(wù)條/進(jìn)程8〕特洛伊木馬/蠕蟲/病毒〔2〕5〕建立連接